phpmysqli防sql注入

什么是SQL注入攻击？

SQL注入攻击是指攻击者通过向Web表单输入恶意的SQL代码，使网站后台数据库因为执行了这些恶意代码而受到攻击的风险。这种攻击是SQL注入攻击，即SQL Injection。注入攻击常常利用不正确的输入验证和输入过滤错误来实现攻击。

PHP mysqli 防止 SQL 注入攻击的重要性

使用mysqli中的预编译语句可以有效防范SQL注入攻击。确保攻击者无法在输入中插入任意的SQL语句，预编译语句在执行阶段执行的语句已经预编译并且在试图执行之前就已经编译过了，这使得它们在执行时更加安全。而且PHP mysqli预编译语句执行效率更高，同时还可以重复利用已经编译过的语句，大大提高数据库性能。

什么是 PHP mysqli 预编译语句

PHP MySQLi提供了预处理语句接口，可以对SQL语句进行分离，分离出来的部分可以单独使用。预处理语句是一种先编译后执行的语句。首先定义语句中的参数类型和值，然后将这些参数值带到查询语句中查询，将查询结果存储在游标中， PHP mysqli 特别适用于预处理语句，预编译语句可以提高数据执行时的安全性和性能。

PHP mysqli 预编译语句的使用方法

1. 使用$mysqli实例初始化预编译语句：

$stmt = $mysqli->prepare("INSERT INTO mycity (CityName, District) VALUES(?, ?)");

上例中，'?'代表这个字段的值是可变的，$stmt会被缓存此SQL语句的预编译。

2. 绑定参数：

$stmt->bind_param("ss", $city, $district);

'ss'代表这个字段的类型是字符串，绑定两个变量 $city 和 $district。

3. 执行查询并将结果存储在游标中：

$stmt->execute();

4. 关闭预编译语句：

$stmt->close();

如何防止 SQL 注入攻击

1. 永远不要相信用户提供的数据。针对输入做出严格的可预见的规范。例如，确保phone_number是十个数字，而不是以下划线开头的任何信息。

2. 使用mysqli预编译语句来规范查询和绑定用户提供所有参数的类型。

3. 即使您相信自己的代码没有漏洞，也可以保持对新漏洞的关注，以便新漏洞被发现时及时更新防御。

4. 清理任何传递到SQL查询的数据，比如过滤用户对web应用程序的输入，例如移除注释，限制查询的长度，转义字符等等。